Bitmex API 密钥:申请、配置与安全交易指南
Bitmex API密钥申请与使用教程
本文档旨在详细介绍Bitmex API密钥的申请流程以及如何使用这些密钥与Bitmex平台进行交互。通过API,用户可以自动化交易策略,获取市场数据,以及管理账户。
1. 注册Bitmex账户
如果您尚未拥有Bitmex账户,需要先创建一个。请访问 Bitmex官网 ,仔细阅读并按照页面上的注册指引逐步完成账户注册。在注册流程中,强烈建议您使用一个安全性极高的密码,密码应包含大小写字母、数字和特殊字符,并且长度足够长,避免使用容易被猜测的个人信息。为了进一步增强账户安全,务必启用双重认证(2FA)。Bitmex支持多种2FA方式,例如Google Authenticator或Authy等,选择您常用的认证方式进行绑定。双重认证会在您每次登录或进行重要操作时,除了密码之外,还需要您输入一个动态验证码,从而有效防止账户被盗用。
2. 登录BitMEX账户
注册流程完成后,您需要使用在注册过程中设置的邮箱地址(或用户名)和密码,安全地登录到BitMEX交易平台。为了保障您的账户安全,建议启用双重验证(2FA)。如果忘记密码,请使用BitMEX提供的密码重置功能,按照页面提示操作进行恢复。登录后,请仔细检查账户信息,确认您已成功进入BitMEX交易界面。
3. 进入API密钥管理页面
成功登录您的加密货币交易平台账户后,通常在网页的右上角可以找到代表您账户信息的图标或头像。点击此图标,将会展开一个下拉菜单,其中包含了账户管理、安全设置等多个选项。 在这些选项中,寻找并选择“API密钥”、“API管理”或类似的名称(具体名称可能因平台而异)。点击后,您将被引导至API密钥管理页面。该页面是创建、查看、编辑和删除API密钥的核心区域。 不同平台对API密钥管理页面的入口和命名可能略有不同,请仔细查找,或参考平台的帮助文档。
4. 创建新的API密钥
为了能够安全地访问和操作交易所或服务的API,你需要创建一个专用的API密钥。 在API密钥管理页面,通常会有一个显著的按钮,标记为“创建密钥”(Create API Key)或类似的名称。 请点击此按钮。
点击后,系统将会弹出一个API密钥创建对话框。 在这个对话框中,你可能需要提供一些信息,例如:
- 密钥名称: 为你的API密钥指定一个易于识别的名称,例如“交易机器人密钥”或“数据分析密钥”。 这有助于你管理多个API密钥。
- 权限设置: 这是最重要的步骤。你需要仔细选择此API密钥应该拥有的权限。 常见的权限包括“读取交易历史”、“下单”、“提币”等。 务必只授予API密钥所需的最小权限集。 例如,如果你的应用程序只需要读取交易数据,则不要授予“提币”权限,以降低安全风险。
- IP地址限制(可选): 某些API平台允许你将API密钥限制为特定的IP地址或IP地址范围。 这是一个额外的安全措施,可以防止未经授权的访问,即使API密钥泄露。 强烈建议你启用此功能,并仅允许你的服务器或应用程序的IP地址访问该API密钥。
- 有效期(可选): 一些API平台允许你设置API密钥的有效期。 这有助于定期轮换API密钥,进一步提高安全性。
完成信息填写后,请仔细阅读并同意API平台的服务条款。 务必妥善保管你的API密钥和密钥。 永远不要将API密钥泄露给任何人,也不要将其存储在不安全的地方,例如代码库或公开的配置文件中。 最佳实践是将API密钥存储在环境变量或安全配置管理系统中。
创建完成后,系统通常会显示API密钥(Public Key)和密钥(Secret Key)。 请立即复制并安全地保存这些信息。 密钥只会显示一次,之后你将无法再次查看。 如果你丢失了密钥,你可能需要重新创建一个新的API密钥。
5. 配置API密钥权限
在API密钥创建对话框中,您需要配置几个至关重要的参数,这些参数直接关系到API密钥的功能和安全性:
- 名称 (Key Name): 为您的API密钥赋予一个易于识别的名称,以便于管理和追踪。良好的命名实践能够显著提升密钥管理效率。建议根据API密钥的使用场景进行命名,例如“量化交易策略A”、“实时行情数据采集”或者“风控系统专用”。清晰的名称能够帮助您快速区分不同的API密钥,避免混淆,并方便进行权限管理和审计。
-
CIDR (CIDR):
CIDR(无类别域间路由)指定允许访问API密钥的IP地址范围,它是增强API密钥安全性的关键措施。通过限制API密钥的访问来源,可以有效防止未经授权的访问和潜在的安全风险。
-
示例:
192.168.1.0/24表示允许来自192.168.1.0到192.168.1.255这个IP地址段的所有请求。/24表示子网掩码,决定了网络号的位数。 - 留空: 不建议这样做。留空意味着允许来自任何IP地址的请求,极大地增加了安全风险。只有在您明确知道需要在任何地方访问API并且了解潜在风险的情况下,才可以留空。 为了更好地安全性,强烈建议只授予来自特定IP地址或IP范围的访问权限,从而降低未经授权的访问风险。
-
示例:
-
密钥权限 (Key Permissions):
这是决定API密钥能够执行哪些操作的核心配置。Bitmex或其他交易所通常提供以下权限级别:
- 订单 (Order): 授权API密钥进行订单的创建、修改和取消等操作。这是进行自动化交易的基础权限。如果您的应用程序需要执行任何类型的交易操作,例如市价单、限价单或者止损单,则必须授予此权限。务必谨慎授予此权限,并确保您的应用程序经过充分的测试和安全审计,以避免意外的交易损失。
- 提现 (Withdraw): 允许API密钥发起提现请求。 强烈建议禁用此权限,除非经过彻底的安全评估并确认应用程序的安全性。 提现权限一旦被滥用,将直接导致资金损失。即使您信任应用程序,也建议尽可能避免授予提现权限,而是采用其他更安全的提现方式,例如人工审核提现请求。务必理解,授予提现权限意味着您将资金的安全完全委托给应用程序,这存在巨大的风险。
- 账户 (Account): 允许API密钥读取账户相关信息,例如账户余额、持仓信息、交易历史等。此权限通常用于监控账户状态、分析交易表现或者进行风险管理。授予此权限不会直接影响您的资金安全,但仍然需要谨慎,避免泄露敏感的账户信息。
- 访问 (Access): 允许API密钥访问市场数据,例如实时价格、成交量、深度数据等。此权限通常用于构建行情分析工具、开发交易策略或者进行市场研究。授予此权限相对安全,因为该权限仅限于读取数据,而无法进行任何交易或提现操作。
6. 生成API密钥
完成所有必要的配置后,您需要生成API密钥,以便您的应用程序或脚本能够安全地访问交易所或平台的API。点击界面上的“生成密钥”(Generate Key)按钮,系统将自动生成一对用于身份验证的字符串。这对字符串至关重要,务必妥善保管。
系统生成的密钥对包含两个关键部分: API Key (API密钥) 和 API Secret (API密钥密码) 。API Key 类似于用户名,用于标识您的身份。API Secret 则相当于密码,用于验证API Key的合法性。请注意,API Secret 的保密性至关重要,一旦泄露,可能导致您的账户被盗用或数据泄露。
在生成API密钥后,强烈建议您立即采取以下安全措施:
- 妥善保管: 将API Key和API Secret存储在安全的地方,例如加密的数据库或硬件钱包。切勿将其明文存储在代码中或上传到公共代码仓库。
- 限制权限: 根据您的应用程序的需求,为API密钥分配最小必要的权限。例如,如果您的应用程序只需要读取市场数据,则不要授予其交易权限。
- 定期更换: 定期更换API Key和API Secret,以降低密钥泄露的风险。
- 启用双重验证: 如果交易所或平台支持,请为您的账户启用双重验证,以增强安全性。
请务必仔细阅读交易所或平台的API文档,了解API密钥的使用限制和最佳实践。错误地使用API密钥可能导致您的账户被暂停或API访问被限制。
重要提示:
- API Secret (API密钥密码) 只会显示一次,请务必妥善保管。 由于安全机制限制,API Secret 在创建后仅会显示一次。这意味着您必须立即备份并安全地存储它。 如果您丢失了API Secret,唯一的解决办法是删除当前API密钥,然后重新生成一个新的API密钥对。请记住,生成新的API密钥对后,您之前所有的API连接都需要更新,使用新的密钥对才能正常工作。务必在安全的环境中保存您的API Secret,例如使用密码管理器或加密的存储设备。
- 切勿将您的API Key和API Secret泄露给任何人。 API Key和API Secret共同构成了访问您账户的凭证,类似于您的账户用户名和密码。一旦泄露,任何获得这些信息的人都可以未经授权地访问您的账户,进行交易、提现或其他敏感操作。因此,必须像对待银行账户密码一样,严格保密您的API Key和API Secret,谨防钓鱼网站、恶意软件或其他欺诈手段。请定期审查您的API密钥权限,并根据实际需要进行调整,以降低潜在的安全风险。启用双重身份验证(2FA)可以进一步增强账户安全性。
7. 使用API密钥与BitMEX API交互
在您成功获取BitMEX API密钥后,便可以利用它与BitMEX API进行交互,进行诸如数据获取、交易下单等操作。BitMEX API采用标准的RESTful架构,这意味着您可以使用任何支持HTTP请求的编程语言,例如Python、Java、JavaScript等,来访问和调用API接口。
使用API密钥时,请务必注意安全。密钥应当妥善保管,避免泄露给他人。 通常,API密钥包含一个公钥(API Key ID)和一个私钥(API Secret)。 公钥用于标识您的身份,私钥用于对请求进行签名,以验证请求的合法性。 在使用API时,需要将API Key ID包含在请求头中,并将使用API Secret对请求参数进行签名后的结果也包含在请求头中。具体的签名算法,通常是HMAC-SHA256,需要参考BitMEX官方文档进行实现。
通过API,您可以执行以下操作:
- 获取市场数据: 实时行情、历史交易记录、订单簿深度等。
- 管理账户: 查询账户余额、仓位信息、订单历史等。
- 进行交易: 下单、撤单、修改订单等。
- 进行资金划转: 充值、提现等(部分权限可能需要更高的API权限)。
请务必仔细阅读BitMEX官方API文档,了解每个API接口的参数、返回值以及使用限制。 同时,需要注意API的使用频率限制,避免因频繁调用API而被限制访问。 合理地设计您的程序逻辑,可以有效避免触发频率限制。
7.1 API Endpoint (API端点)
BitMEX API 的 Endpoint (端点) 是访问其交易平台功能的关键入口点。根据您所处的环境,使用的端点会有所不同:
-
Mainnet (主网):
https://www.bitmex.com/api/v1- 这是 BitMEX 真实交易环境,使用此端点进行实际的加密货币交易。请务必谨慎操作,因为涉及真实资金。 -
Testnet (测试网):
https://testnet.bitmex.com/api/v1- Testnet 是一个模拟交易环境,允许开发者和交易者在不承担实际财务风险的情况下测试和调试他们的交易策略和应用程序。
强烈建议您在开发、测试和原型设计阶段优先使用 Testnet (测试网)。Testnet 提供了一个安全的沙盒环境,让您可以在模拟市场条件下自由实验,避免在 Mainnet (主网) 真实市场中因代码错误或策略问题而造成潜在的资金损失。在您的应用程序经过充分测试并验证后,再切换到 Mainnet 进行实际交易。
7.2 身份验证 (Authentication)
为了确保安全地访问API并验证您的身份,您需要在每个API请求中包含以下认证信息。 这些信息将被服务器用来验证请求的来源和完整性,防止未经授权的访问。
-
api-key: 您的API密钥。这是一个唯一的标识符,用于识别您的账户。您可以在您的账户设置或开发者控制台中找到您的API Key。 请务必妥善保管您的API Key,避免泄露。 -
api-signature: 使用您的API密钥(api-secret)对请求内容进行HMAC-SHA256签名。这是一个加密签名,用于验证请求的完整性,确保请求在传输过程中没有被篡改。生成签名的过程包括将请求的各种参数(例如请求方法、请求路径、查询参数、请求体)组合成一个字符串,然后使用您的api-secret作为密钥,使用HMAC-SHA256算法对该字符串进行哈希运算。将得到的哈希值进行Base64编码,作为api-signature的值。 -
api-expires: 请求的过期时间戳 (Unix timestamp)。这是一个整数,表示请求的有效期限。时间戳是指从Unix纪元(1970年1月1日 00:00:00 UTC)开始到指定时间的秒数。例如,如果api-expires的值为1678886400,则表示请求必须在2023年3月15日 00:00:00 UTC之前发出。使用过期时间戳可以防止重放攻击,即攻击者截获并重发有效的API请求。建议设置合理的过期时间,以平衡安全性和可用性。
7.3 签名生成
为了确保API请求的安全性,需要对每个请求进行签名。以下是生成签名的详细步骤:
-
构造签名字符串。签名字符串是用于生成签名的核心数据,其格式严格遵循:
HTTP Method + API Endpoint + Expires + Data。-
HTTP Method:
请求所使用的HTTP方法,务必与实际发送的请求方法一致。常见的HTTP方法包括
GET(用于获取数据)、POST(用于创建数据)、PUT(用于更新数据)、DELETE(用于删除数据)等。 选择正确的HTTP方法对于确保API的正确功能至关重要。 -
API Endpoint:
API的相对路径,它标识了要访问的特定API资源。例如,
/api/v1/order指的是订单相关的API端点,/api/v2/user/profile指向用户资料相关的API端点。确保API端点路径的准确性是成功调用API的关键。 - Expires: 请求的过期时间戳(Unix timestamp)。这是一个整数,表示自1970年1月1日午夜(UTC/GMT时间)以来经过的秒数。设置过期时间戳可以防止重放攻击,确保即使签名泄露,也只能在指定的时间段内有效。建议设置一个合理的过期时间,例如几分钟或几小时。
-
Data:
请求的JSON数据。这是API请求中发送的数据部分,通常包含请求的参数。如果请求不需要发送任何数据,则该部分为空字符串
""。请注意,即使数据为空,也需要将其作为空字符串包含在签名字符串中,以保证签名的一致性。在构造Data字符串时,请确保JSON数据已正确格式化,并且不包含任何多余的空格或换行符。
-
HTTP Method:
请求所使用的HTTP方法,务必与实际发送的请求方法一致。常见的HTTP方法包括
-
使用您的API Secret作为密钥,对签名字符串进行HMAC-SHA256签名。API Secret是您在API提供方处获得的唯一密钥,务必妥善保管,避免泄露。HMAC-SHA256是一种常用的哈希消息认证码算法,它可以确保消息的完整性和真实性。使用API Secret作为密钥,对签名字符串进行HMAC-SHA256运算,可以生成一个唯一的签名。
-
将签名转换为十六进制字符串。HMAC-SHA256算法生成的签名通常是二进制格式,为了方便传输和存储,需要将其转换为十六进制字符串。每个字节的二进制数据都会被转换为两个十六进制字符。例如,二进制的
00001111会被转换为十六进制的0F。转换后的十六进制字符串可以作为API请求头或参数的一部分发送给API服务器。
示例 (Python):
为了与BitMEX API进行安全交互,以下Python示例演示了如何生成签名并发送请求。 你需要安装
requests
库:
pip install requests
。
import hashlib
import hmac
import time
import
import requests
设置您的API密钥、API密钥Secret和BitMEX API的基准URL。 为了安全起见,请勿在代码中硬编码您的密钥,而是使用环境变量或其他安全存储方法。
api_key = 'YOUR_API_KEY'
api_secret = 'YOUR_API_SECRET'
base_url = 'https://testnet.bitmex.com/api/v1'
generate_signature
函数负责创建BitMEX API所需的HMAC SHA256签名。它接受HTTP方法(例如GET或POST)、API端点、过期时间戳和请求数据(如果存在)作为输入。该函数将这些组件连接起来,并使用您的API密钥secret对结果字符串进行哈希处理。
def generate_signature(method, endpoint, expires, data=''):
"""Generates the signature required by the BitMEX API."""
message = method + endpoint + str(expires) + data
signature = hmac.new(api_secret.encode('utf-8'), message.encode('utf-8'), digestmod=hashlib.sha256).hexdigest()
return signature
bitmex_request
函数封装了与BitMEX API的实际通信。它接受HTTP方法和API端点,以及可选的请求数据。该函数构建必要的头部,包括API密钥、签名和过期时间戳。它使用
requests
库发送请求,并处理可能发生的任何错误。请求过期时间设置为60秒,以防止重放攻击。
def bitmex_request(method, endpoint, data=None):
"""Makes a request to the BitMEX API."""
expires = int(time.time() + 60) # 请求过期时间为60秒后
如果存在要发送的数据,则需要使用
.dumps()
将其序列化为JSON字符串。如果数据为空,则将其设置为空字符串。
if data:
data = .dumps(data)
else:
data = ''
调用
generate_signature
函数来创建请求的签名,使用HTTP方法、端点、过期时间和数据作为参数。
signature = generate_signature(method, endpoint, expires, data)
设置请求头,包含您的API密钥、生成的签名、过期时间以及
Content-Type
。 确保
Content-Type
根据您发送的数据类型正确设置。
headers = {
'api-key': api_key,
'api-signature': signature,
'api-expires': str(expires),
'Content-Type': 'application/'
}
构建完整的请求URL,将基本URL与API端点连接起来。
url = base_url + endpoint
使用try-except块处理请求并捕获潜在的异常。 基于指定的HTTP方法(GET或POST)发送请求。 如果请求成功,则该函数将以JSON格式返回响应内容。
response.raise_for_status()
会在响应状态码指示错误(4xx或5xx)时引发HTTPError。
try:
if method == 'GET':
response = requests.get(url, headers=headers)
elif method == 'POST':
response = requests.post(url, headers=headers, data=data)
else:
raise ValueError("Unsupported method")
response.raise_for_status() # Raise HTTPError for bad responses (4xx or 5xx)
return response.()
如果发生任何请求异常(例如连接错误、超时),则会捕获该异常,打印错误消息,并且该函数返回
None
。
except requests.exceptions.RequestException as e:
print(f"Error: {e}")
return None
示例:获取账户信息
该示例展示了如何使用BitMEX API获取用户的保证金账户信息。通过发送一个GET请求到特定的API端点,可以获取账户的各种详细信息,包括余额、可用保证金、已用保证金、风险敞口等。
endpoint = '/user/margin'
这行代码定义了API端点,
/user/margin
是BitMEX API中用于获取用户保证金账户信息的路径。请注意,用户需要通过有效的API密钥进行身份验证才能访问此端点。
account_info = bitmex_request('GET', endpoint)
这行代码使用名为
bitmex_request
的自定义函数(或库函数,取决于具体的实现)向BitMEX API发送GET请求。
'GET'
参数指定HTTP请求方法为GET,
endpoint
参数指定请求的URL路径。这个函数负责处理API请求的构建、签名和发送,并返回API响应。需要注意的是,
bitmex_request
函数需要事先配置正确的API密钥和Secret,以便对请求进行签名,确保请求的安全性。
if account_info:
print(account_info)
这段代码检查
bitmex_info
变量是否包含有效数据。如果请求成功,并且API返回了数据,
account_info
将包含账户信息的JSON对象。如果
account_info
不为空(例如,请求成功且返回了数据),则将账户信息打印到控制台。API返回的数据通常是JSON格式,包含了账户的各种信息,如可用余额、保证金余额、已实现盈亏、未实现盈亏、风险等级、杠杆倍数等。通过解析这些数据,可以了解账户的当前状态,方便进行交易决策。
示例:下单
在加密货币交易中,下单是执行交易的关键步骤。以下示例展示了如何使用API接口提交市价买单,以在BitMEX交易所购买比特币/美元(XBTUSD)合约。
我们需要定义API endpoint,用于提交订单请求。 在此示例中,endpoint设置为
'/order'
,它指向BitMEX API的下单端点。
接下来,我们需要构建订单数据
order_data
,这是一个包含订单详细信息的字典。关键参数包括:
-
'symbol': 指定交易的合约代码,这里是 'XBTUSD',代表比特币/美元合约。 -
'side': 指定交易方向,'Buy' 表示买入,'Sell' 表示卖出。 -
'orderQty': 指定订单数量,即合约数量,这里设置为 1。 -
'ordType': 指定订单类型,'Market' 表示市价单,将以当前市场最优价格立即成交。其他订单类型还包括限价单('Limit')等。
构建好订单数据后,我们使用
bitmex_request('POST', endpoint, order_data)
函数向BitMEX API发送POST请求。
bitmex_request
函数是一个自定义函数,用于处理API请求的签名、认证和数据传输等底层细节。
该函数接收三个参数:HTTP方法('POST')、API endpoint 和订单数据。它返回API请求的结果。
我们检查
order_result
的值。如果请求成功,
order_result
将包含订单的详细信息,例如订单ID、成交价格、手续费等。我们可以使用
print(order_result)
将结果打印到控制台,以便查看订单执行情况。
示例代码:
endpoint = '/order'
order_data = {
'symbol': 'XBTUSD',
'side': 'Buy',
'orderQty': 1,
'ordType': 'Market'
}
order_result = bitmex_request('POST', endpoint, order_data)
if order_result:
print(order_result)
请注意,这只是一个简单的示例。在实际交易中,需要考虑更多的因素,例如风险管理、资金管理和市场波动等。同时,您还需要拥有有效的BitMEX API密钥,并正确配置
bitmex_request
函数,才能成功提交订单。
7.4 错误处理
BitMEX API 在与服务器交互时,可能会返回各种HTTP状态码和自定义错误消息,指示请求处理过程中遇到的问题。作为开发者,理解并妥善处理这些错误至关重要,以便构建健壮且可靠的交易系统。您需要仔细检查返回的HTTP状态码和错误信息,并根据这些信息采取适当的措施来处理异常情况,例如重试请求、记录错误日志或通知用户。
-
400 Bad Request: 此错误表明客户端发送的请求存在问题,通常是由于请求参数不正确、缺失或格式错误导致的。例如,可能传递了无效的符号代码、不正确的数量或超出范围的价格。您需要检查请求参数,确保它们符合BitMEX API的规范和预期格式。仔细核对API文档中对参数的要求,并验证客户端发送的数据。 -
401 Unauthorized: 此错误表示客户端没有提供有效的身份验证凭据,或者提供的API密钥无效或权限不足。请确保您已正确配置API密钥,并且密钥拥有执行所需操作的权限。检查您的API密钥是否已过期或被禁用。同时,确保您使用了正确的API密钥和Secret,并使用它们生成有效的签名来验证请求。 -
429 Too Many Requests: 此错误表明客户端在短时间内发送了过多的请求,超过了BitMEX API的速率限制。为了保护服务器免受滥用,BitMEX对每个API密钥的请求频率进行了限制。当您收到此错误时,应该暂停发送请求一段时间,并根据API文档中指定的速率限制策略进行调整。实施指数退避策略,逐渐增加重试之间的时间间隔,以避免再次触发速率限制。您也可以使用更高效的请求方式,例如批量请求或WebSocket API,来减少请求的数量。
8. 安全最佳实践
- 限制API密钥权限: 授予API密钥最小权限是安全的基础。只赋予API密钥执行其功能所需的最低权限,避免不必要的风险暴露。例如,如果API密钥仅用于读取数据,则不应授予其交易权限。详细审查不同权限的含义,确保配置精确。
- 使用IP白名单: 通过IP白名单,您可以将API密钥的使用限制在特定的、受信任的IP地址范围内。 这意味着即使API密钥泄露,攻击者也无法从未经授权的IP地址使用它。实施IP白名单需要仔细规划,确保所有需要访问API密钥的服务器或服务都包含在白名单中,同时定期审查和更新白名单。
- 定期轮换API密钥: 定期更换API密钥能有效降低密钥泄露带来的潜在危害。即使密钥在某段时间内泄露,定期轮换也可以限制其有效时间。设置密钥轮换策略,并自动化此过程,以减少手动操作的错误和遗漏。密钥轮换的频率取决于安全需求和风险评估。
- 不要将API密钥存储在代码中: 将API密钥直接硬编码到应用程序代码中是极其危险的做法。 任何能够访问代码的人都可以访问API密钥。安全的方法是将API密钥存储在环境变量或配置文件中,这些文件不应存储在公共代码仓库中。使用专门的密钥管理工具可以进一步提高安全性。
- 监控API密钥的使用情况: 持续监控API密钥的使用情况,可以帮助您及时发现异常行为。例如,如果API密钥在短时间内被大量使用,或者从不寻常的地理位置被访问,这可能表明密钥已被盗用。设置警报系统,以便在检测到异常活动时立即收到通知。详细的日志记录和审计对于追踪可疑活动至关重要。
- 启用双重认证(2FA): 为您的Bitmex账户启用双重认证是防止未经授权访问的重要措施。2FA要求除了密码之外,还需要提供来自其他设备(例如手机)的验证码。即使攻击者获取了您的密码,他们仍然需要物理访问您的第二个设备才能登录。强烈建议所有用户启用2FA。
